O isolamento de núcleos é uma funcionalidade de segurança do Microsoft Windows que protege importantes processos principais do Windows contra software malicioso ao isolá-los na memória. Fá-lo ao executar esses processos principais num ambiente virtualizado. 

Nota: O que vê na página Isolamento do núcleo pode variar um pouco consoante a versão do Windows que estiver a executar.

Integridade da memória

A integridade da memória, também conhecida como Integridade do Código Protegida pelo Hipervisor (HVCI) é uma funcionalidade de segurança do Windows que dificulta a utilização de controladores de baixo nível para sequestrar o computador por programas maliciosos.

Um controlador é um software que permite que o sistema operativo (Windows neste caso) e um dispositivo (como um teclado ou uma câmara Web, por dois exemplos) falem entre si. Quando o dispositivo pretende que o Windows faça algo, utiliza o controlador para enviar esse pedido.

Sugestão: Quer saber mais sobre os controladores? Consulte O que é um controlador?

A integridade da memória funciona ao criar um ambiente isolado com a virtualização de hardware.

Pense nisso como um segurança dentro de uma cabine trancada. Este ambiente isolado (o stand bloqueado na nossa analogia) impede que a funcionalidade de integridade da memória seja adulterada por um atacante. Um programa que queira executar um código que possa ser perigoso tem de passar o código para a integridade da memória dentro desse stand virtual para que possa ser verificado. Quando a integridade da memória estiver confortável com o facto de o código estar seguro, devolve o código ao Windows para ser executado. Normalmente, isto acontece muito rapidamente.

Sem a integridade da memória em execução, o "segurança" destaca-se ao ar livre, onde é muito mais fácil para um atacante interferir ou sabotar o guarda, tornando mais fácil para o código malicioso passar e causar problemas.

Como posso gerir a integridade da memória?

Na maioria dos casos, a integridade da memória está ativada por predefinição no Windows 11 e pode ser ativada para o Windows 10.

Para ativá-lo ou desativá-lo:

  1. Selecione o botão Iniciar e escreva "Isolamento do núcleo".

  2. Selecione as definições do sistema isolamento de núcleos nos resultados da pesquisa para abrir a aplicação de segurança do Windows.

Na página Isolamento do núcleo, encontrará Integridade da memória juntamente com o botão de alternar para ativá-la ou desativá-la.

A página de isolamento do núcleo da Segurança do Windows

Importante: Por motivos de segurança, recomendamos que a integridade da memória seja ativada.

Para utilizar a integridade da memória, tem de ter a virtualização de hardware ativada no UEFI ou BIOS do seu sistema. 

E se disser que tenho um controlador incompatível?

Se a integridade da memória não for ativada, poderá indicar que já tem um controlador de dispositivo incompatível instalado. Contacte o fabricante do dispositivo para ver se tem um controlador atualizado disponível. Se não tiverem um controlador compatível disponível, poderá remover o dispositivo ou a aplicação que utiliza esse controlador incompatível.

A funcionalidade integridade da memória do Windows que mostra que um controlador é incompatível

Nota: Se tentar instalar um dispositivo com um controlador incompatível depois de ativar a integridade da memória, poderá ver a mesma mensagem. Em caso afirmativo, aplica-se o mesmo conselho - contacte o fabricante do dispositivo para ver se tem um controlador atualizado que pode transferir ou não instale esse dispositivo específico até que esteja disponível um controlador compatível.

Proteção contra Pilha imposta pelo hardware no modo kernel

A Proteção contra Pilha imposta por hardware no modo kernel é uma funcionalidade de segurança do Windows baseada em hardware que dificulta a utilização de controladores de baixo nível por parte de programas maliciosos para sequestrar o computador.

Um controlador é um software que permite que o sistema operativo (Windows neste caso) e um dispositivo como um teclado ou uma câmara Web, por exemplo, falem entre si. Quando o dispositivo pretende que o Windows faça algo, utiliza o controlador para enviar esse pedido.

Sugestão: Quer saber mais sobre os controladores? Consulte O que é um controlador?

O Modo kernel Proteção de Pilha imposta por hardware funciona ao impedir ataques que modificam os endereços devolvidos na memória no modo kernel para iniciar código malicioso. Esta funcionalidade de segurança requer uma CPU que contenha a capacidade de verificar os endereços devolvidos do código em execução.

Ao executar código no modo kernel, os endereços devolvidos na pilha do modo kernel podem ser danificados por programas maliciosos ou controladores para redirecionar a execução normal de código para código malicioso. Nas CPUs suportadas, a CPU mantém uma segunda cópia de endereços de retorno válidos numa pilha sombra só de leitura que os controladores não podem modificar. Se um endereço devolvido na pilha regular tiver sido modificado, a CPU pode detetar esta discrepância ao verificar a cópia do endereço devolvido na pilha sombra. Quando esta discrepância ocorre, o computador pede um erro fatal, por vezes conhecido como ecrã azul, para impedir a execução do código malicioso.

Nem todos os controladores são compatíveis com esta funcionalidade de segurança, uma vez que um pequeno número de controladores legítimos se dedicam à modificação de endereços devolvidos para fins não maliciosos. A Microsoft tem-se envolvido com vários fabricantes de controladores para garantir que os controladores mais recentes são compatíveis com a Proteção contra Pilha imposta por hardware no modo Kernel.

Como posso gerir a Proteção contra Pilha imposta pelo hardware no modo Kernel?

A Proteção contra Pilha imposta por hardware no modo kernel está desativada por predefinição.

Para ativá-lo ou desativá-lo:

  1. Selecione o botão Iniciar e escreva "Isolamento do núcleo".

  2. Selecione as definições do sistema isolamento de núcleos nos resultados da pesquisa para abrir a aplicação de segurança do Windows.

Na página Isolamento do núcleo, encontrará Proteção contra Pilha imposta pelo hardware no modo Kernel juntamente com o botão de alternar para ativá-la ou desativá-la.

Indica a localização da IU da Proteção contra Pilha imposta pelo hardware no modo kernel na página Isolamento de Núcleo da aplicação Segurança do Windows.

Para utilizar a Proteção de Pilha Imposta por Hardware no modo kernel, tem de ter a Integridade da Memória ativada e tem de estar a executar uma CPU que suporte a Intel Control-Flow Enforcement Technology ou a Pilha Sombra AMD.

E se indicar que tenho um controlador ou serviço incompatível?

Se a Proteção contra Pilha imposta por hardware no modo Kernel não se ativar, poderá indicar-lhe que já tem um controlador ou serviço de dispositivo incompatível instalado. Contacte o fabricante do dispositivo ou o fabricante da aplicação para ver se tem um controlador atualizado disponível. Se não tiverem um controlador compatível disponível, poderá remover o dispositivo ou aplicação que utiliza esse controlador incompatível.

Algumas aplicações podem instalar um serviço em vez de um controlador durante a instalação da aplicação e instalar o controlador apenas quando a aplicação é iniciada. Para uma deteção mais precisa de controladores incompatíveis, os serviços que são conhecidos por estarem associados a controladores incompatíveis também são enumerados.

Página controladores e serviços incompatíveis para Proteção contra Pilha imposta por hardware no modo Kernel na aplicação Segurança do Windows, com um controlador incompatível apresentado. O controlador incompatível chama-se ExampleDriver.sys, publicado pela "Empresa de Exemplo".

Nota: Se tentar instalar um dispositivo ou aplicação com um controlador incompatível depois de ativar a Proteção contra Pilha imposta pelo hardware no modo Kernel, poderá ver a mesma mensagem. Em caso afirmativo, aplica-se o mesmo conselho – contacte o fabricante do dispositivo ou o fabricante da aplicação para ver se tem um controlador atualizado que pode transferir ou não instale esse dispositivo ou aplicação específico até que esteja disponível um controlador compatível.

Proteção de acesso à memória

Também conhecido como "Proteção DMA de Kernel" protege o seu dispositivo contra ataques que podem ocorrer quando um dispositivo malicioso está ligado a uma porta PCI (Periférico Componente Interligado), como uma porta Thunderbolt.

Um exemplo simples de um destes ataques seria se alguém deixasse o PC para uma pausa rápida no café e, enquanto estava ausente, um atacante intervém, liga um dispositivo usb e afasta-se com dados confidenciais da máquina ou injeta software maligno que lhes permite controlar o PC remotamente. 

A proteção de acesso à memória impede estes tipos de ataques ao negar o acesso direto à memória a esses dispositivos, exceto em circunstâncias especiais, especialmente quando o PC está bloqueado ou o utilizador termina sessão.

Recomendamos que a proteção de acesso à memória seja ativada.

Sugestão: Se quiser obter mais detalhes técnicos, veja Proteção DMA do Kernel.

Proteção contra firmware

Cada dispositivo tem algum software que foi escrito na memória só de leitura do dispositivo - basicamente escrito num chip no quadro do sistema - que é utilizado para as funções básicas do dispositivo, como carregar o sistema operativo que executa todas as aplicações que estamos habituados a utilizar. Uma vez que esse software é difícil (mas não impossível) modificar, referimo-nos ao mesmo como firmware.

Uma vez que o firmware é carregado primeiro e executado no sistema operativo, as ferramentas de segurança e as funcionalidades que são executadas no sistema operativo têm dificuldade em detetá-lo ou defender-se contra o mesmo. Tal como uma casa que depende de uma boa base para ser segura, um computador precisa que o firmware seja seguro para garantir que o sistema operativo, as aplicações e os dados dos clientes nesse computador estão seguros.

O Windows Defender System Guard é um conjunto de funcionalidades que ajuda a garantir que os atacantes não conseguem que o seu dispositivo comece com firmware não fidedigno ou malicioso.

Recomendamos que o tenha ativado se o seu dispositivo o suportar.

Normalmente, as plataformas que oferecem proteção de firmware também protegem o Modo de Gestão do Sistema (SMM), um modo operacional altamente privilegiado, para diferentes graus. Pode esperar um dos três valores, com um número mais elevado a indicar um maior grau de proteção do SMM:

  • O seu dispositivo cumpre a versão um da proteção de firmware: oferece as mitigações de segurança fundamentais para ajudar o SMM a resistir à exploração por software maligno e impede a transferência de segredos do SO (incluindo VBS)

  • O dispositivo cumpre a versão dois da proteção de firmware: para além da versão um da proteção de firmware, a versão dois garante que o SMM não consegue desativar as proteções VBS (Virtualization-based Security) e kernel DMA

  • O seu dispositivo cumpre a versão três da proteção de firmware: para além da versão dois da proteção de firmware, este endurece ainda mais o SMM ao impedir o acesso a determinados registos que tenham a capacidade de comprometer o SO (incluindo o VBS)

Sugestão: Se quiser obter mais detalhes técnicos sobre isto, consulte Windows Defender System Guard: Como uma raiz de fidedignidade baseada em hardware ajuda a proteger o Windows

Proteção da Autoridade de Segurança Local

A proteção da Autoridade de Segurança Local (LSA) é uma funcionalidade de segurança do Windows para ajudar a impedir o roubo de credenciais utilizadas para iniciar sessão no Windows.   

A Autoridade de Segurança Local (LSA) é um processo crucial no Windows envolvido na autenticação do utilizador. É responsável por verificar as credenciais durante o processo de início de sessão e gerir os tokens de autenticação e os pedidos de suporte utilizados para ativar o início de sessão único para serviços. A proteção LSA ajuda a impedir que o software não fidedigno seja executado dentro da LSA ou que aceda à memória LSA.  

Como posso gerir a proteção da Autoridade de Segurança Local

A proteção LSA está ativada por predefinição nas novas instalações do Windows 11 versão 22H2 e 23H2 em dispositivos geridos pela empresa. Está ativada por predefinição em todas as novas instalações do Windows 11, versão 24H2 e posterior. 

Se estiver a atualizar para o Windows 11 24H2 e a proteção LSA ainda não estiver ativada, a proteção LSA tentará ativar após a atualização. A proteção LSA entrará num modo de avaliação após a atualização e verificará se existem problemas de compatibilidade durante um período de 5 dias. Se não forem detetados problemas, a proteção LSA será ativada automaticamente no próximo reinício após o fim da janela de avaliação.  

Para ativá-lo ou desativá-lo: 

  1. Selecione Iniciar na barra de tarefas e escreva "Isolamento do núcleo".

  2. Selecione as definições do sistema isolamento de núcleos nos resultados da pesquisa para abrir a aplicação de segurança do Windows.

Na página Isolamento do núcleo, encontrará a proteção da Autoridade de Segurança Local juntamente com o botão de alternar para a ativar ou desativar. Depois de alterar a definição, tem de reiniciar para que esta entre em vigor. 

Controlo da proteção LSA na página Isolamento do Núcleo da Aplicação de Segurança do Windows

E se tiver software incompatível? 

Se a proteção LSA estiver ativada e bloquear o carregamento de software para o serviço LSA, será apresentada uma notificação a indicar o ficheiro que foi bloqueado. Poderá remover o software que carrega o ficheiro ou pode desativar avisos futuros para esse ficheiro quando este for impedido de carregar para o LSA.  

O alerta foi iniciado quando a proteção LSA bloqueia o carregamento de um ficheiro.

Microsoft Defender Credential Guard

Nota: O Microsoft Defender Credential Guard só aparece em dispositivos com versões Empresariais do Windows 10 ou 11.

Enquanto estiver a utilizar o seu computador escolar ou profissional, este irá iniciar sessão silenciosamente e obter acesso a uma variedade de itens, como ficheiros, impressoras, aplicações e outros recursos na sua organização. Tornar esse processo seguro, mas fácil para o utilizador, significa que o seu computador tem vários tokens de autenticação (muitas vezes referidos como "segredos") no mesmo a qualquer momento.

Se um atacante conseguir aceder a um ou mais desses segredos, poderá ser capaz de utilizá-los para obter acesso ao recurso organizacional (ficheiros confidenciais, etc.) para o qual se destina o segredo. O Microsoft Defender Credential Guard ajuda a proteger esses segredos ao colocá-los num ambiente protegido, virtualizado, onde apenas determinados serviços podem aceder aos mesmos quando necessário.

Recomendamos que o tenha ativado se o seu dispositivo o suportar.

Sugestão: Se quiser obter mais detalhes técnicos sobre isto, veja Como funciona o Defender Credential Guard.

Lista de Bloqueios de ControladorEs Vulneráveis da Microsoft

Um controlador é um software que permite que o sistema operativo (Windows neste caso) e um dispositivo (como um teclado ou uma câmara Web, por dois exemplos) falem entre si. Quando o dispositivo pretende que o Windows faça algo, utiliza o controlador para enviar esse pedido. Por este motivo, os controladores têm muito acesso confidencial no seu sistema.

A partir da atualização do Windows 11 2022, temos agora uma lista de bloqueios de controladores que têm vulnerabilidades de segurança conhecidas, foram assinados com certificados que foram utilizados para assinar software maligno ou que contornam o Modelo de Segurança do Windows.

Se tiver a integridade da memória, o Controlo de Aplicações Inteligentes ou o modo S do Windows ativado, a lista de bloqueios de controladores vulneráveis também estará ativada.

Consulte também

Permanecer protegido com a Segurança do Windows

Ajuda e aprendizagem sobre a segurança da Microsoft

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.